服务器被黑,安全日志看 ANONYMOUS LOGON 登陆,防火墙看到对方在连接我的 3389,我服务器桌面的所有文件对方都能浏览吗?
kang000feng · 2015-05-26 18:31:26 +08:00 · 5802 次点击这是一个创建于 3451 天前的主题,其中的信息可能已经有所发展或是发生改变。
对方是暴力破解的吗? 已经强密码.除了指定IP登陆,还有其他措施吗?
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date:
Time: 18:17:52
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: XXXXXX
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: ( )
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name:
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date:
Time: 18:17:52
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: XXXXXX
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: ( )
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name:
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
 |
1
pimin 2015-05-26 18:45:00 +08:00 via iPhone
通常来说win服务器可以登录3389基本上是拿到管理员权限。所有文件对对方都是可见的。
然而,NT AUTHORITY\ANONYMOUS LOGON 并不是登陆3389日志。 |
|
2
pimin 2015-05-26 18:49:51 +08:00 via iPhone
首先停用所有可疑账户,自用管理员权限账户更改密码,然后排查对方渗透方式,做好善后。
|
 |
3
kang000feng OP @pimin 谢谢,请问NT AUTHORITY\ANONYMOUS LOGON 是什么日志? 我服务器上浏览器中保存的密码是不是都不安全了?
|
|
4
pimin 2015-05-26 20:25:48 +08:00 via iPhone
@kang000feng
代表不使用帐户名、密码或域名而通过网络访问计算机及其资源的用户和服务。 比如FTP之类服务,单说这条日志很正常,不存在风险。但是不能确定你服务器有没有其它风险。 建议启用证书登陆,麻烦一些换来高安全性。 和ssh一样,单纯密码登陆目前都算是缺点。 即便是服务器被黑,浏览器保存密码通常也不容易被利用,因为很少有人用服务器上的浏览器,搜集服务器信息也很少打这方面主意。 |
|
5
kang000feng OP @pimin 谢谢,请问如何排查呢?能否给个思路?我用process explorer查看所有进程,没发现可疑,除了暴力穷举破解外,还是其他可能吗? 启用证书是指SSL加密认证吗?那个据说也不安全 用RC4加密,而且远程服务器安装证书组件需要插入光盘,VPS,没法弄.
|
|
6
pimin 2015-05-26 21:55:45 +08:00 via iPhone
首先,进程、服务、启动项过一遍
然后用工具看下有没有隐藏账户 最后再登陆3389时候试试5下shift和win+u有没有被留后门,改掉3389端口。 远程桌面暴力破解难度大,而且会留下一大堆日志文件。 通常来说,都是系统其它程序漏洞、配置不正确导致被入侵。 比如php之类web程序被拿到webshell,相关目录有执行权限利用本地溢出拿到系统权限。 再比如web程序有SQL注入漏洞,mssql以系统管理员权限运行直接执行cmd命令拿到系统权限。 程序、系统没有及时更新补丁被远程溢出等。 远程无法插光盘问题可通过虚拟光驱解决。 1.本地挂载光盘远程桌面带到服务器 2.vps下载光盘,虚拟光盘加载 |
|
7
kang000feng OP 谢谢 @pimin ,我那台服务器是刚启用,什么都没装,firewall一直关闭直到前几天开了才发现被黑的, 现在防火墙3389端口已指定ip登陆,并只开放该端口,这样以后还有被入侵的可能吗?
|
|
8
pimin 2015-05-28 20:18:02 +08:00 via iPhone
@kang000feng
可能性很小 |
Select Language